Overzicht van migratie van AD FS-toepassingen
In dit artikel krijgt u informatie over de mogelijkheden van de wizard AD FS-toepassingsmigratie en de migratiestatus die beschikbaar is op het dashboard. U leert ook de verschillende validatietests die de toepassingsmigratie genereert voor elk van de toepassingen die u wilt migreren van AD FS naar Microsoft Entra ID.
Met de wizard AD FS-toepassingsmigratie kunt u snel bepalen welke van uw toepassingen kunnen worden gemigreerd naar Microsoft Entra-id. Het evalueert alle AD FS-toepassingen voor compatibiliteit met Microsoft Entra ID. Het controleert ook op eventuele problemen, biedt richtlijnen voor het voorbereiden van afzonderlijke toepassingen voor migratie en het configureren van een nieuwe Microsoft Entra-toepassing met één klik.
Met de wizard AD FS-toepassingsmigratie kunt u het volgende doen:
Ontdek AD FS-toepassingen en beperk uw migratie : de wizard ad FS-toepassingsmigratie bevat alle AD FS-toepassingen in uw organisatie die de afgelopen 30 dagen een actieve gebruikersaanmelding hebben gehad. Het rapport geeft een gereedheid voor apps aan voor migratie naar Microsoft Entra-id. In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365. Bijvoorbeeld relying party's met naam
urn:federation:MicrosoftOnline.Prioriteit geven aan toepassingen voor migratie : haal het aantal unieke gebruikers op dat zich in de afgelopen 1, 7 of 30 dagen heeft aangemeld bij de toepassing om te bepalen wat de kritiek of het risico is dat de toepassing wordt gemigreerd.
Migratietests uitvoeren en problemen oplossen: de rapportageservice voert automatisch tests uit om te bepalen of een toepassing gereed is voor migratie. De resultaten worden weergegeven in het migratiedashboard van de AD FS-toepassing als een migratiestatus. Als de AD FS-configuratie niet compatibel is met een Microsoft Entra-configuratie, krijgt u specifieke richtlijnen voor het oplossen van de configuratie in Microsoft Entra-id.
Gebruik een toepassingsconfiguratie met één klik om een nieuwe Microsoft Entra-toepassing te configureren. Dit biedt een begeleide ervaring voor het migreren van on-premises relying party-toepassingen naar de cloud. De migratie-ervaring maakt gebruik van de metagegevens van de relying party-toepassing die rechtstreeks vanuit uw on-premises omgeving wordt geïmporteerd. De ervaring biedt ook een eenmalige configuratie van de SAML-toepassing op het Microsoft Entra-platform met enkele eenvoudige SAML-instellingen, claimconfiguraties en groepstoewijzingen.
Notitie
Migratie van AD FS-toepassingen ondersteunt alleen op SAML gebaseerde toepassingen. Het biedt geen ondersteuning voor toepassingen die gebruikmaken van protocollen zoals OpenID Connect, WS-Fed en OAuth 2.0. Als u toepassingen wilt migreren die gebruikmaken van deze protocollen, raadpleegt u het rapport Ad FS-toepassingsactiviteiten gebruiken om de toepassingen te identificeren die u wilt migreren. Zodra u de apps hebt geïdentificeerd die u wilt migreren, kunt u deze handmatig configureren in Microsoft Entra-id. Zie Uw toepassing migreren en testen voor meer informatie over hoe u aan de slag gaat met handmatige migratie.
Migratiestatus van AD FS-toepassing
De Microsoft Entra Connect- en Microsoft Entra Connect Health-agents voor AD FS leest de configuraties van uw on-premises relying party-toepassing en aanmeldingslogboeken. Deze gegevens over elke AD FS-toepassing worden geanalyseerd om te bepalen of deze als zodanig kunnen worden gemigreerd of als er aanvullende beoordeling nodig is. Op basis van het resultaat van deze analyse wordt de migratiestatus voor de opgegeven toepassing bepaald.
Toepassingen worden gecategoriseerd in de volgende migratiestatussen:
- Gereed om te migreren betekent dat de configuratie van de AD FS-toepassing volledig wordt ondersteund in Microsoft Entra-id en kan worden gemigreerd zoals het is.
- Moet worden beoordeeld , betekent dat sommige van de instellingen van de toepassing kunnen worden gemigreerd naar Microsoft Entra-id, maar u moet de instellingen controleren die niet naar behoren kunnen worden gemigreerd.
- Extra stappen die vereist zijn , betekent dat Microsoft Entra ID geen ondersteuning biedt voor bepaalde instellingen van de toepassing, zodat de toepassing niet kan worden gemigreerd in de huidige status.
Validatietests voor AD FS-toepassingsmigratie
De gereedheid van toepassingen wordt geëvalueerd op basis van de volgende vooraf gedefinieerde AD FS-toepassingsconfiguratietests. De tests worden automatisch uitgevoerd en de resultaten worden weergegeven in het migratiedashboard van de AD FS-toepassing als een migratiestatus. Als de AD FS-configuratie niet compatibel is met een Microsoft Entra-configuratie, krijgt u specifieke richtlijnen voor het oplossen van de configuratie in Microsoft Entra-id.
Statusupdates van AD FS-toepassingsmigratieinzichten
Wanneer de toepassing wordt bijgewerkt, synchroniseren interne agents de updates binnen een paar minuten. Ad FS-migratieinzichttaken zijn echter verantwoordelijk voor het evalueren van de updates en het berekenen van een nieuwe migratiestatus. Deze taken worden elke 24 uur uitgevoerd, wat betekent dat de gegevens slechts eenmaal per dag worden berekend om ongeveer 00:00:00 Coordinated Universal Time (UTC).
| Resultaat | Geslaagd/Waarschuwing/Mislukt | Beschrijving |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Er is ten minste één regel gedetecteerd die niet kan worden gemigreerd voor AdditionalAuthentication. |
Geslaagd/waarschuwing | De relying party heeft regels om te vragen om meervoudige verificatie. Als u naar Microsoft Entra ID wilt gaan, vertaalt u deze regels in beleid voor voorwaardelijke toegang. Als u een on-premises MFA gebruikt, raden we u aan om over te stappen op Meervoudige Verificatie van Microsoft Entra. Meer informatie over voorwaardelijke toegang. |
| Test-ADFSRPAdditionalWSFedEndpoint De relying party heeft AdditionalWSFedEndpoint ingesteld op true. |
Doorgeven/mislukken | De relying party in AD FS staat meerdere WS-Fed assertie-eindpunten toe. Op dit moment biedt Microsoft Entra alleen ondersteuning voor één. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. |
| Test-ADFSRPAllowedAuthenticationClassReferences De relying party heeft AllowedAuthenticationClassReferences ingesteld. |
Doorgeven/mislukken | Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd om alleen bepaalde verificatietypen toe te staan. We raden u aan om de voorwaardelijke toegang te gebruiken om deze mogelijkheid te bereiken. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. Meer informatie over voorwaardelijke toegang. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Doorgeven/mislukken | Met deze instelling in AD FS kunt u opgeven of de toepassing is geconfigureerd voor het negeren van SSO-cookies en altijd vragen om verificatie. In Microsoft Entra ID kunt u de verificatiesessie beheren met behulp van beleid voor voorwaardelijke toegang om vergelijkbaar gedrag te bereiken. Meer informatie over het beheer van verificatiesessies met voorwaardelijke toegang configureren. |
| Test-ADFSRPAutoUpdateEnabled Relying party heeft AutoUpdateEnabled ingesteld op true |
Geslaagd/waarschuwing | Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra ID biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren. |
| Test-ADFSRPClaimsProviderName De Relying Party heeft meerdere ClaimsProviders ingeschakeld |
Doorgeven/mislukken | Deze instelling in AD FS roept de id-providers aan van waaruit de relying party claims accepteert. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Meer informatie over Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Doorgeven/mislukken | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de delegering. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Connect en OAuth 2.0. Meer informatie over het Microsoft Identity Platform. |
| Test-ADFSRPImpersonationAuthorizationRules | Geslaagd/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de imitatie. Dit is een WS-Trust-concept dat Microsoft Entra ID ondersteunt met behulp van moderne verificatieprotocollen, zoals OpenID Connect en OAuth 2.0. Meer informatie over het Microsoft Identity Platform. |
| Test-ADFSRPIssuanceAuthorizationRules Er is ten minste één niet-migratiebare regel gedetecteerd voor IssuanceAuthorization. |
Geslaagd/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de uitgifte in AD FS. Microsoft Entra ID ondersteunt deze functionaliteit met voorwaardelijke toegang van Microsoft Entra. Meer informatie over voorwaardelijke toegang. U kunt ook de toegang tot een toepassing beperken door gebruikers of groepen die zijn toegewezen aan de toepassing. Meer informatie over het toewijzen van gebruikers en groepen voor toegang tot toepassingen. |
| Test-ADFSRPIssuanceTransformRules Er is ten minste één niet-migratiebare regel gedetecteerd voor IssuanceTransform. |
Geslaagd/waarschuwing | De toepassing heeft aangepaste autorisatieregels gedefinieerd voor de transformatie in AD FS. Microsoft Entra ID ondersteunt het aanpassen van de claims die zijn uitgegeven in het token. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
| Test-ADFSRPMonitoringEnabled Relying Party heeft MonitoringEnabled ingesteld op true. |
Geslaagd/waarschuwing | Met deze instelling in AD FS kunt u opgeven of AD FS is geconfigureerd om de toepassing automatisch bij te werken op basis van wijzigingen in de federatie metagegevens. Microsoft Entra biedt momenteel geen ondersteuning voor dit probleem, maar mag de migratie van de toepassing naar Microsoft Entra-id niet blokkeren. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Geslaagd/waarschuwing | AD FS staat een tijdsverschil toe op basis van de tijdwaarden van NotBefore en NotOnOrAfter in het SAML-token. Microsoft Entra ID verwerkt dit standaard automatisch. |
| Test-ADFSRPRequestMFAFromClaimsProviders Relying Party heeft RequestMFAFromClaimsProviders ingesteld op true. |
Geslaagd/waarschuwing | Deze instelling in AD FS bepaalt het gedrag voor MFA wanneer de gebruiker afkomstig is van een andere claimprovider. In Microsoft Entra ID kunt u externe samenwerking inschakelen met Behulp van Microsoft Entra B2B. Vervolgens kunt u beleid voor voorwaardelijke toegang toepassen om gasttoegang te beveiligen. Meer informatie over Microsoft Entra B2B en voorwaardelijke toegang. |
| Test-ADFSRPSignedSamlRequestsRequired Relying Party heeft SignedSamlRequestsRequired ingesteld op true |
Doorgeven/mislukken | De toepassing is geconfigureerd in AD FS om de handtekening in de SAML-aanvraag te verifiëren. Microsoft Entra ID accepteert een ondertekende SAML-aanvraag; de handtekening wordt echter niet gecontroleerd. Microsoft Entra ID heeft verschillende methoden om te beschermen tegen schadelijke aanroepen. Microsoft Entra ID gebruikt bijvoorbeeld de antwoord-URL's die in de toepassing zijn geconfigureerd om de SAML-aanvraag te valideren. Microsoft Entra-id verzendt alleen een token naar antwoord-URL's die zijn geconfigureerd voor de toepassing. Als u een scenario hebt waarin dit resultaat de migratie blokkeert, laat het ons dan weten. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Geslaagd/waarschuwing | De toepassing is geconfigureerd voor een aangepaste levensduur van tokens. De standaardwaarde van AD FS is één uur. Microsoft Entra ID ondersteunt deze functionaliteit met behulp van voorwaardelijke toegang. Raadpleeg Beheer van verificatiesessies met voorwaardelijke toegang configureren. |
| Relying Party is ingesteld op het versleutelen van claims. Dit wordt ondersteund door Microsoft Entra-id | Geslaagd | Met Microsoft Entra-id kunt u het token versleutelen dat naar de toepassing wordt verzonden. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie. |
| EncryptedNameIdRequiredCheckResult | Doorgeven/mislukken | De toepassing is geconfigureerd voor het versleutelen van de nameID-claim in het SAML-token. Met Microsoft Entra-id kunt u het hele token versleutelen dat naar de toepassing wordt verzonden. Versleuteling van specifieke claims wordt nog niet ondersteund. Zie Microsoft Entra SAML-tokenversleuteling configureren voor meer informatie. |